Perbankan, Kasino dan Perusahaan Investasi di Seluruh Dunia Waspada dengan Hacker Lazarus
JAKARTA - Rifan Financindo -- Baru-baru ini Kaspersky Lab
menerbitkan hasil penyelidikan, selama lebih dari setahun, terhadap
aktivitas Lazarus - sebuah kelompok hacker terkenal yang diduga
bertanggung jawab atas pencurian 81 juta dolar dari Bank Sentral
Bangladesh pada tahun 2016.
Selama analisis forensik dari jejak-jejak yang ditinggalkan oleh kelompok ini di perbankan Asia Tenggara dan Eropa, Kaspersky Lab mendapatkan pemahaman yang mendalam tentang peralatan berbahaya apa saja yang kelompok ini pergunakan serta bagaimana cara mereka beroperasi ketika menyerang lembaga keuangan, kasino, pengembang perangkat lunak untuk perusahaan investasi dan perusahaan mata uang kripto di seluruh dunia.
Pengetahuan ini setidaknya berhasil membantu menggagalkan dua operasi lain yang memiliki tujuan yang sama yaitu untuk mencuri sejumlah besar uang dari lembaga keuangan.
Pada bulan Februari 2016, sekelompok hacker (tak dikenal pada waktu itu) berusaha untuk mencuri US$ 851 juta dan berhasil mentransfer US$ 81 juta dari Bank Sentral Bangladesh.
Indisden ini dianggap sebagai salah satu aksi perampokan di dunia maya yang terbesar dan paling sukses yang pernah terjadi. Penyelidikan lebih lanjut dilakukan oleh para peneliti dari perusahaan keamanan IT yang berbeda termasuk Kaspersky Lab untuk mengungkapkan kemungkinan besar bahwa serangan itu dilakukan oleh Lazarus – sebuah kelompok spionase dan sabotase cyber terkenal yang bertanggung jawab atas serangkaian serangan rutin dan membawa kehancuran, dikenal karena menyerang perusahaan manufaktur, media dan lembaga keuangan di setidaknya 18 negara di seluruh dunia sejak tahun 2009.
Meskipun disusul dengan keheningan aktivitas selama beberapa bulan setelah serangan di Bangladesh, Kelompok Lazarus masih tetap aktif. Mereka mempersiapkan diri untuk operasi baru selanjutnya yaitu mencuri uang dari bank-bank lain dan, pada saat mereka sudah siap, mereka kemudian mulai menyerang berbagai lembaga keuangan di Asia Tenggara.
Namun, terhalang oleh perlindungan dari produk Kaspersky Lab dan penyelidikan yang dilakukan oleh perusahaan, mereka memilih untuk mundur selama beberapa bulan, kemudian memutuskan untuk mengubah operasi mereka dengan berpindah ke Eropa. Tapi di sini juga, upaya mereka terganggu oleh pendeteksian dari perangkat lunak keamanan Kaspersky Lab, serta respon atas insiden yang cepat, analisis forensik, dan reverse engineering dengan dukungan dari peneliti ternama dari perusahaan.
Modus Operasi Lazarus
Berdasarkan hasil analisis forensik terhadap serangan ini, peneliti Kaspersky Lab mampu merekonstruksi modus operandi Kelompok Lazarus:
Awal Peretasan: Sebuah sistem tunggal dalam bank diretas dengan menggunakan kerentanan kode yang dapat diakses dari jarak jauh (pada webserver) atau melalui serangan watering hole melalui exploit yang ditanam pada situs tidak berbahaya. Setelah situs tersebut dikunjungi, komputer korban (karyawan bank) terkena malware, yang membawa komponen tambahan.
Mendirikan Fondasi Serangan: Kemudian kelompok berpindah ke host Bank lainnya dan menyebarkan backdoors yang gigih - malware tersebut memungkinkan kelempok untuk datang dan pergi kapan pun mereka inginkan.
Pengintaian Internal: Selanjutnya kelompok menghabiskan berhari-hari bahkan minggu untuk mempelajari jaringan, dan mengidentifikasi sumber daya berharga. Salah satu sumber daya tersebut dapat menjadi server cadangan, di mana informasi mengenai otentikasi disimpan, server mail atau keseluruhan domain controller dengan kunci untuk setiap “pintu” di perusahaan, serta server penyimpanan atau catatan pengolahan transaksi keuangan.
Menyebarkan dan Mencuri: Akhirnya, mereka menyebarkan malware khusus yang mampu melewati fitur keamanan internal dari perangkat lunak keuangan kemudian mencairkan transaksi keuangan tidak resmi atas nama bank.
Serangan ini diselidiki oleh para peneliti Kaspersky Lab yang berlangsung selama berminggu-minggu. Namun, para penyerang mampu beroperasi di bawah radar selama berbulan-bulan. Sebagai contoh, selama analisis insiden di Asia Tenggara, para ahli menemukan bahwa kelompok hacker ini mampu meretas jaringan bank setidaknya tujuh bulan sebelum diketahui tim keamanan bank dan kemudian meminta adanya respon atas insiden.
Yang mengejutkan, kelompok tersebut telah memiliki akses ke jaringan perbankan di Asia Tenggara bahkan sebelum hari dimana insiden Bangladesh terjadi.
Menurut catatan Kaspersky Lab, dari Desember 2015, sampel malware yang berhubungan dengan kegiatan kelompok Lazarus muncul di lembaga keuangan, kasino, pengembang perangkat lunak untuk perusahaan investasi dan perusahaan mata uang kripto di Korea, Bangladesh, India, Vietnam, Indonesia, Kosta Rika, Malaysia, Polandia , Irak, Ethiopia, Kenya, Nigeria, Uruguay, Gabon, Thailand dan beberapa negara lainnya. Sampel terbaru yang diketahui Kaspersky Lab terdeteksi pada Maret 2017, menunjukkan bahwa penyerang tidak punya niat untuk berhenti.
Meskipun penyerang cukup berhati-hati dalam menghapus jejak mereka, setidaknya ada satu server yang mereka retas untuk serangan lain terdaapat kesalahan serius dengan jejak penting yang tertinggal. Dalam persiapan operasi, server dikonfigurasi sebagai command & control center untuk malware.
Koneksi pertama kali yang dibuat pada hari konfigurasi datang dari beberapa VPN/ server proxy yang menunjukkan periode pengujian bagi C & C server. Namun, ada satu koneksi singkat pada hari itu yang datang dari sebuah alamat IP sangat langka di Korea Utara.
Menurut peneliti, hal ini bisa berarti beberapa hal:
Para penyerang terhubung dari alamat IP tersebut di Korea Utara Operasi pengalihan palsu dari orang lain yang direncanakan dengan hati-hati. Seseorang di Korea Utara sengaja mengunjungi URL dari command and control
Kelompok Lazarus banyak berinvestasi dalam mengembangkan varian terbaru dari malware mereka. Selama berbulan-bulan mereka mencoba untuk membuat sebuah toolset berbahaya yang tidak akan terlihat oleh solusi keamanan, tapi setiap kali mereka melakukan ini, spesialis Kaspersky Lab berhasil mengidentifikasi fitur unik dalam cara mereka membuat kode, yang memungkinkan Kaspersky Lab untuk terus melacak sampel terbaru.
Sekarang, para penyerang sepertinya relatif tenang, yang mungkin berarti bahwa mereka berhenti sejenak untuk mengatur ulang gudang persenjataan mereka.
“Kami yakin mereka akan segera kembali. Kesimpulannya, serangan seperti yang dilakukan oleh kelompok Lazarus menunjukkan bahwa kesalahan konfigurasi yang kecil sekalipun dapat mengakibatkan peretasan keamanan utama, yang berpotensi dapat menyebabkan perusahaan yang ditargetkan mengalami kerugian ratusan juta dolar. Kami berharap bahwa kepala eksekutif dari perbankan, kasino dan perusahaan investasi di seluruh dunia menjadi waspada ketika mendengar nama Lazarus,” ujar Vitaly Kamluk, Head of Global Research and Analysis Team APAC di Kaspersky Lab.
Produk Kaspersky Lab berhasil mendeteksi dan memblokir malware yang digunakan oleh aktor ancaman Lazarus dengan nama-nama deteksi spesifik berikut:
Perusahaan juga merilis Indikator dari Peretasan (IOC) yang penting dan data-data lainnya untuk membantu organisasi mencari jejak serangan dari kelompok ini dalam jaringan perusahaan mereka. Untuk informasi lebih lanjut Securelist.com.
Kami mendesak semua organisasi untuk hati-hati memindai jaringan mereka atas kehadiran sampel malware Lazarus dan, jika terdeteksi, untuk mendisinfeksi sistem mereka dan melaporkan intrusi untuk penegakan hukum dan tim respon insiden.
Untuk mempelajari lebih lanjut tentang serangan keuangan oleh kelompok Lazarus, silahkan membaca posting blog yang tersedia di Securelist.com.
Rifan Financindo
Selama analisis forensik dari jejak-jejak yang ditinggalkan oleh kelompok ini di perbankan Asia Tenggara dan Eropa, Kaspersky Lab mendapatkan pemahaman yang mendalam tentang peralatan berbahaya apa saja yang kelompok ini pergunakan serta bagaimana cara mereka beroperasi ketika menyerang lembaga keuangan, kasino, pengembang perangkat lunak untuk perusahaan investasi dan perusahaan mata uang kripto di seluruh dunia.
Pengetahuan ini setidaknya berhasil membantu menggagalkan dua operasi lain yang memiliki tujuan yang sama yaitu untuk mencuri sejumlah besar uang dari lembaga keuangan.
Pada bulan Februari 2016, sekelompok hacker (tak dikenal pada waktu itu) berusaha untuk mencuri US$ 851 juta dan berhasil mentransfer US$ 81 juta dari Bank Sentral Bangladesh.
Indisden ini dianggap sebagai salah satu aksi perampokan di dunia maya yang terbesar dan paling sukses yang pernah terjadi. Penyelidikan lebih lanjut dilakukan oleh para peneliti dari perusahaan keamanan IT yang berbeda termasuk Kaspersky Lab untuk mengungkapkan kemungkinan besar bahwa serangan itu dilakukan oleh Lazarus – sebuah kelompok spionase dan sabotase cyber terkenal yang bertanggung jawab atas serangkaian serangan rutin dan membawa kehancuran, dikenal karena menyerang perusahaan manufaktur, media dan lembaga keuangan di setidaknya 18 negara di seluruh dunia sejak tahun 2009.
Meskipun disusul dengan keheningan aktivitas selama beberapa bulan setelah serangan di Bangladesh, Kelompok Lazarus masih tetap aktif. Mereka mempersiapkan diri untuk operasi baru selanjutnya yaitu mencuri uang dari bank-bank lain dan, pada saat mereka sudah siap, mereka kemudian mulai menyerang berbagai lembaga keuangan di Asia Tenggara.
Namun, terhalang oleh perlindungan dari produk Kaspersky Lab dan penyelidikan yang dilakukan oleh perusahaan, mereka memilih untuk mundur selama beberapa bulan, kemudian memutuskan untuk mengubah operasi mereka dengan berpindah ke Eropa. Tapi di sini juga, upaya mereka terganggu oleh pendeteksian dari perangkat lunak keamanan Kaspersky Lab, serta respon atas insiden yang cepat, analisis forensik, dan reverse engineering dengan dukungan dari peneliti ternama dari perusahaan.
Modus Operasi Lazarus
Berdasarkan hasil analisis forensik terhadap serangan ini, peneliti Kaspersky Lab mampu merekonstruksi modus operandi Kelompok Lazarus:
Awal Peretasan: Sebuah sistem tunggal dalam bank diretas dengan menggunakan kerentanan kode yang dapat diakses dari jarak jauh (pada webserver) atau melalui serangan watering hole melalui exploit yang ditanam pada situs tidak berbahaya. Setelah situs tersebut dikunjungi, komputer korban (karyawan bank) terkena malware, yang membawa komponen tambahan.
Mendirikan Fondasi Serangan: Kemudian kelompok berpindah ke host Bank lainnya dan menyebarkan backdoors yang gigih - malware tersebut memungkinkan kelempok untuk datang dan pergi kapan pun mereka inginkan.
Pengintaian Internal: Selanjutnya kelompok menghabiskan berhari-hari bahkan minggu untuk mempelajari jaringan, dan mengidentifikasi sumber daya berharga. Salah satu sumber daya tersebut dapat menjadi server cadangan, di mana informasi mengenai otentikasi disimpan, server mail atau keseluruhan domain controller dengan kunci untuk setiap “pintu” di perusahaan, serta server penyimpanan atau catatan pengolahan transaksi keuangan.
Menyebarkan dan Mencuri: Akhirnya, mereka menyebarkan malware khusus yang mampu melewati fitur keamanan internal dari perangkat lunak keuangan kemudian mencairkan transaksi keuangan tidak resmi atas nama bank.
Serangan ini diselidiki oleh para peneliti Kaspersky Lab yang berlangsung selama berminggu-minggu. Namun, para penyerang mampu beroperasi di bawah radar selama berbulan-bulan. Sebagai contoh, selama analisis insiden di Asia Tenggara, para ahli menemukan bahwa kelompok hacker ini mampu meretas jaringan bank setidaknya tujuh bulan sebelum diketahui tim keamanan bank dan kemudian meminta adanya respon atas insiden.
Yang mengejutkan, kelompok tersebut telah memiliki akses ke jaringan perbankan di Asia Tenggara bahkan sebelum hari dimana insiden Bangladesh terjadi.
Menurut catatan Kaspersky Lab, dari Desember 2015, sampel malware yang berhubungan dengan kegiatan kelompok Lazarus muncul di lembaga keuangan, kasino, pengembang perangkat lunak untuk perusahaan investasi dan perusahaan mata uang kripto di Korea, Bangladesh, India, Vietnam, Indonesia, Kosta Rika, Malaysia, Polandia , Irak, Ethiopia, Kenya, Nigeria, Uruguay, Gabon, Thailand dan beberapa negara lainnya. Sampel terbaru yang diketahui Kaspersky Lab terdeteksi pada Maret 2017, menunjukkan bahwa penyerang tidak punya niat untuk berhenti.
Meskipun penyerang cukup berhati-hati dalam menghapus jejak mereka, setidaknya ada satu server yang mereka retas untuk serangan lain terdaapat kesalahan serius dengan jejak penting yang tertinggal. Dalam persiapan operasi, server dikonfigurasi sebagai command & control center untuk malware.
Koneksi pertama kali yang dibuat pada hari konfigurasi datang dari beberapa VPN/ server proxy yang menunjukkan periode pengujian bagi C & C server. Namun, ada satu koneksi singkat pada hari itu yang datang dari sebuah alamat IP sangat langka di Korea Utara.
Menurut peneliti, hal ini bisa berarti beberapa hal:
Para penyerang terhubung dari alamat IP tersebut di Korea Utara Operasi pengalihan palsu dari orang lain yang direncanakan dengan hati-hati. Seseorang di Korea Utara sengaja mengunjungi URL dari command and control
Kelompok Lazarus banyak berinvestasi dalam mengembangkan varian terbaru dari malware mereka. Selama berbulan-bulan mereka mencoba untuk membuat sebuah toolset berbahaya yang tidak akan terlihat oleh solusi keamanan, tapi setiap kali mereka melakukan ini, spesialis Kaspersky Lab berhasil mengidentifikasi fitur unik dalam cara mereka membuat kode, yang memungkinkan Kaspersky Lab untuk terus melacak sampel terbaru.
Sekarang, para penyerang sepertinya relatif tenang, yang mungkin berarti bahwa mereka berhenti sejenak untuk mengatur ulang gudang persenjataan mereka.
“Kami yakin mereka akan segera kembali. Kesimpulannya, serangan seperti yang dilakukan oleh kelompok Lazarus menunjukkan bahwa kesalahan konfigurasi yang kecil sekalipun dapat mengakibatkan peretasan keamanan utama, yang berpotensi dapat menyebabkan perusahaan yang ditargetkan mengalami kerugian ratusan juta dolar. Kami berharap bahwa kepala eksekutif dari perbankan, kasino dan perusahaan investasi di seluruh dunia menjadi waspada ketika mendengar nama Lazarus,” ujar Vitaly Kamluk, Head of Global Research and Analysis Team APAC di Kaspersky Lab.
Produk Kaspersky Lab berhasil mendeteksi dan memblokir malware yang digunakan oleh aktor ancaman Lazarus dengan nama-nama deteksi spesifik berikut:
Perusahaan juga merilis Indikator dari Peretasan (IOC) yang penting dan data-data lainnya untuk membantu organisasi mencari jejak serangan dari kelompok ini dalam jaringan perusahaan mereka. Untuk informasi lebih lanjut Securelist.com.
Kami mendesak semua organisasi untuk hati-hati memindai jaringan mereka atas kehadiran sampel malware Lazarus dan, jika terdeteksi, untuk mendisinfeksi sistem mereka dan melaporkan intrusi untuk penegakan hukum dan tim respon insiden.
Untuk mempelajari lebih lanjut tentang serangan keuangan oleh kelompok Lazarus, silahkan membaca posting blog yang tersedia di Securelist.com.
Rifan Financindo
Komentar
Posting Komentar